Tjänst, kontinuerlig
Kontinuerlig automatiserad säkerhetsanalys av era REST- och GraphQL-API:er. Vi skickar OpenAPI-specen eller en levande endpoint till våra egna skanningsmotorer och får tillbaka det som en pentester skulle hittat: trasig autentisering, läckande introspection, brutna CORS-policys, bristande rate-limit, fel-meddelanden som läcker ramverket.
Mappad mot OWASP API Security Top 10:2023 och RFC 7519 (JWT). Rapport varje dygn, plus omedelbar Telegram-/e-postlarm vid nya kritiska fynd.
Det vi testar
Klasserna nedan är direkta motsvarigheter till OWASP API Top 10. Varje klass körs av en eller flera native-pluginer som vi underhåller själva. Inga svarta lådor från tredje part.
En mutationsmatris mot er autentiserade endpoint: alg=none, kid path-traversal, signatur strippad, exp i förfluten tid, audience-swap, HS256-vs-RS256-konfusion. Klassiska JWT-misskonfigurationer som ramverk fortfarande accepterar.
Vi fingerprintar engine (Apollo, Hasura, Ariadne med flera), testar om introspection är aktiverad i produktion, och försöker rekonstruera schemat via "did you mean"-fältförslag även när introspection är avstängt (clairvoyance-teknik).
Vi läser er OpenAPI-spec och genererar testfall för varje endpoint som har en path-parameter: tom sträng, mycket lång sträng, negativ int, null-byte, SQL-markör, XSS-markör, path-traversal. Vi flaggar 5xx-svar (handler-exception), oescaped reflektion och spec-drift.
Vilda CORS-origins på token-autentiserade endpoints är klassisk credential-stöld-yta. Vi testar varje endpoint med en attacker-origin och flaggar de som returnerar Access-Control-Allow-Credentials: true med spegelvänd origin.
GraphQL-alias-amplifiering (50 alias av samma fält i en request), REST batched-query-stöd som delar auth-kontroll, och path-canonicalization-bypass (t.ex. /endpoint/ vs /endpoint på rate-limit-counters).
Backend-fel som når wire: gorm "record not found", django DoesNotExist, sqlalchemy IntegrityError, Go-panik, Python-traceback. Var och en avslöjar er datalager-stack direkt och brukar leda till riktade följdattacker.
Så går det till
Ni ger oss er OpenAPI-spec (om ni har en) eller bara värdnamnet. Vi sätter upp en autentiserings-bootstrap så våra plugins kan nå skyddade endpoints.
Vi kör hela plugin-paketet en gång, ofta 100-300 requests beroende på spec-storlek, och kalibrerar mot er normala 4xx-rate.
Lättviktig skanning varje dygn. Delta-fynd presenteras i dashboarden. Kritiska fynd skickas direkt till Telegram eller e-post utan att vänta på rapport.
Vid kritiska eller flerstegs-fynd granskar en av oss innan rapporten släpps till er. Falska positiva fångas innan ni ser dem.
Var den passar in
Den här tjänsten ersätter inte en manuell applikationspentest. En människa hittar fortfarande logik-fel, affärs-regel-bypasser och kreativa attack-kedjor som verktyg inte kan automatisera.
Den fångar den andra halvan av problemet: regressioner och misskonfigurationer som dyker upp efter pentesten. Mellan två årliga manuella tester är det 360 dagar då API-säkerheten kan drifta utan att någon märker. Det är där den här tjänsten hör hemma.
Strategisk översikt: Strategisk säkerhetsanalys. Manuell pentest på begäran via Adminor.
FAQ
Inte obligatoriskt, men starkt rekommenderat. Med spec-fil kan vi köra schemathesis-equivalent fuzzing på varje dokumenterad endpoint. Utan spec kör vi reducerat: endpoint-discovery, JWT-matris, GraphQL-audit, CORS, headers.
Nej. Standardläget är read-only: GET-metoder, schema-frågor, header-prober. Vi accepterar bara POST/PUT/PATCH/DELETE om ni explicit godkänt en sandbox-miljö och givit oss en separat scope-överenskommelse.
En av tre vägar: (1) ni ger oss en test-användares JWT, (2) vi bygger en OTP-bootstrap-flow mot er staging-miljö, (3) ni ger oss en client_credentials-token via separat OAuth-app. Alla credentials lagras krypterade och rensas vid uppsägning.
Från 1 990 kr/månad för kontinuerlig daglig skanning av en API-värd. Större API:er (>200 endpoints) eller fler API-värdar prissätts individuellt. Operatörsgranskning av kritiska fynd ingår.
Varje fynd har ett OWASP-kategori-fält (t.ex. API2:2023 Broken Authentication, API4:2023 Unrestricted Resource Consumption) och en CWE-referens. Rapporten visar fördelningen och gap-analysen mappad direkt mot Top 10:2023.
All skanningsdata lagras på Adminor AB:s egen infrastruktur i Sverige. Inget exponeras mot US Cloud Act. GDPR Art. 30 record-of-processing finns att skicka ut på begäran.
Onboarding tar ungefär en arbetsdag. Första djupskanningen levereras innan vecka tar slut.